Slika:
Danas se značajan dio svih sadržaja na Internetu distribuira putem CDN mreža. Istodobno istražite kako razni cenzori šire svoj utjecaj na takve mreže. Znanstvenici sa Sveučilišta Massachusetts moguće metode blokiranja CDN sadržaja na primjeru prakse kineskih vlasti, a također je razvio alat za zaobilaženje takvog blokiranja.
Pripremili smo pregledni materijal s glavnim zaključcima i rezultatima ovog eksperimenta.
Uvod
Cenzura je globalna prijetnja slobodi govora na internetu i slobodnom pristupu informacijama. To je uvelike moguće zahvaljujući činjenici da je internet model “end-to-end komunikacije” posudio iz telefonskih mreža 70-ih godina prošlog stoljeća. To vam omogućuje blokiranje pristupa sadržaju ili komunikaciji korisnika bez značajnog napora ili troškova jednostavno na temelju IP adrese. Ovdje postoji nekoliko metoda, od blokiranja same adrese zabranjenim sadržajem do blokiranja mogućnosti korisnika da je čak i prepoznaju korištenjem DNS manipulacije.
Međutim, razvoj interneta doveo je i do pojave novih načina širenja informacija. Jedan od njih je korištenje predmemoriranog sadržaja za poboljšanje performansi i ubrzavanje komunikacije. Danas CDN pružatelji usluga obrađuju značajnu količinu ukupnog prometa u svijetu - Akamai, lider u ovom segmentu, sam čini do 30% globalnog statičkog web prometa.
CDN mreža je distribuirani sustav za dostavu internetskog sadržaja maksimalnom brzinom. Tipična CDN mreža sastoji se od poslužitelja na različitim geografskim lokacijama koji pohranjuju sadržaj u predmemoriju kako bi ga poslužili korisnicima koji su najbliži tom poslužitelju. To vam omogućuje značajno povećanje brzine online komunikacije.
Uz poboljšanje iskustva za krajnje korisnike, CDN hosting pomaže kreatorima sadržaja skalirati svoje projekte smanjujući opterećenje njihove infrastrukture.
Cenzuriranje CDN sadržaja
Unatoč činjenici da CDN promet već čini značajan dio svih informacija koje se prenose internetom, još uvijek gotovo da nema istraživanja o tome kako cenzori u stvarnom svijetu pristupaju njegovoj kontroli.
Autori studije započeli su istraživanjem tehnika cenzuriranja koje se mogu primijeniti na CDN-ove. Zatim su proučavali stvarne mehanizme koje koriste kineske vlasti.
Prvo, razgovarajmo o mogućim metodama cenzuriranja i mogućnosti njihove upotrebe za kontrolu CDN-a.
IP filtriranje
Ovo je najjednostavnija i najjeftinija tehnika za cenzuru interneta. Koristeći ovaj pristup, cenzor identificira i stavlja na crnu listu IP adrese izvora koji hostiraju zabranjeni sadržaj. Tada kontrolirani Internet provideri prestaju isporučivati pakete poslane na takve adrese.
Blokiranje temeljeno na IP-u jedna je od najčešćih metoda cenzuriranja interneta. Većina komercijalnih mrežnih uređaja opremljena je funkcijama za implementaciju takvog blokiranja bez značajnog računalnog napora.
Međutim, ova metoda nije baš prikladna za blokiranje CDN prometa zbog nekih svojstava same tehnologije:
- Distribuirano predmemoriranje – kako bi se osigurala najbolja dostupnost sadržaja i optimizirala izvedba, CDN mreže pohranjuju korisnički sadržaj u predmemoriju na velikom broju rubnih poslužitelja smještenih na geografski raspoređenim lokacijama. Da bi filtrirao takav sadržaj na temelju IP-a, cenzor bi trebao saznati adrese svih rubnih poslužitelja i staviti ih na crnu listu. To će potkopati glavna svojstva metode, jer je njena glavna prednost ta što u uobičajenoj shemi blokiranje jednog poslužitelja omogućuje "odsječenje" pristupa zabranjenom sadržaju za veliki broj ljudi odjednom.
- Dijeljene IP adrese – komercijalni pružatelji CDN-a dijele svoju infrastrukturu (tj. rubne poslužitelje, sustav mapiranja itd.) između mnogih klijenata. Kao rezultat toga, zabranjeni CDN sadržaj učitava se s istih IP adresa kao i nezabranjeni sadržaj. Kao rezultat toga, svaki pokušaj IP filtriranja rezultirat će blokiranjem velikog broja stranica i sadržaja koji nisu od interesa cenzorima.
- Vrlo dinamična IP dodjela – za optimizaciju uravnoteženja opterećenja i poboljšanje kvalitete usluge, mapiranje rubnih poslužitelja i krajnjih korisnika izvodi se vrlo brzo i dinamično. Na primjer, Akamai svake minute ažurira vraćene IP adrese. To će učiniti gotovo nemogućim da adrese budu povezane sa zabranjenim sadržajem.
DNS smetnje
Osim IP filtriranja, još jedna popularna metoda cenzuriranja je DNS smetnja. Ovaj pristup uključuje radnje cenzora čiji je cilj spriječiti korisnike da prepoznaju IP adrese izvora sa zabranjenim sadržajem. Odnosno, intervencija se događa na razini rezolucije naziva domene. Postoji nekoliko načina za to, uključujući otmicu DNS veza, korištenje tehnika trovanja DNS-a i blokiranje DNS zahtjeva prema zabranjenim stranicama.
Ovo je vrlo učinkovit način blokiranja, ali može se zaobići ako koristite nestandardne metode razrješenja DNS-a, na primjer, kanale izvan pojasa. Stoga cenzori obično kombiniraju DNS blokiranje s IP filtriranjem. Ali, kao što je gore navedeno, IP filtriranje nije učinkovito u cenzuriranju CDN sadržaja.
Filtrirajte prema URL-u/ključnim riječima koristeći DPI
Moderna oprema za praćenje mrežne aktivnosti može se koristiti za analizu specifičnih URL-ova i ključnih riječi u prenesenim paketima podataka. Ova tehnologija se zove DPI (duboka inspekcija paketa). Takvi sustavi pronalaze spominjanje zabranjenih riječi i izvora, nakon čega ometaju online komunikaciju. Kao rezultat toga, paketi se jednostavno ispuštaju.
Ova je metoda učinkovita, ali složenija i zahtjevnija jer zahtijeva defragmentaciju svih paketa podataka koji se šalju unutar određenih tokova.
CDN sadržaj može se zaštititi od takvog filtriranja na isti način kao i "običan" sadržaj - u oba slučaja pomaže korištenje enkripcije (tj. HTTPS).
Uz korištenje DPI-ja za pronalaženje ključnih riječi ili URL-ova zabranjenih izvora, ovi se alati mogu koristiti za napredniju analizu. Ove metode uključuju statističku analizu online/offline prometa i analizu identifikacijskih protokola. Ove su metode iznimno zahtjevne i trenutačno jednostavno nema dokaza da ih cenzori koriste u dovoljno ozbiljnoj mjeri.
Autocenzura CDN pružatelja usluga
Ako je cenzor država, onda ima sve mogućnosti zabraniti rad onim CDN pružateljima usluga u zemlji koji ne poštuju lokalne zakone koji reguliraju pristup sadržaju. Autocenzuri se ne može oduprijeti ni na koji način - stoga, ako je tvrtka CDN provider zainteresirana za rad u određenoj zemlji, bit će prisiljena poštivati lokalne zakone, čak i ako oni ograničavaju slobodu govora.
Kako Kina cenzurira CDN sadržaj
Veliki kineski vatrozid s pravom se smatra najučinkovitijim i najnaprednijim sustavom za osiguravanje internetske cenzure.
Metodologija istraživanja
Znanstvenici su proveli eksperimente koristeći Linux čvor koji se nalazi unutar Kine. Također su imali pristup nekoliko računala izvan zemlje. Prvo su istraživači provjerili je li čvor podložan cenzuri sličnoj onoj koja se primjenjuje na druge kineske korisnike - da bi to učinili, pokušali su otvoriti razne zabranjene stranice s ovog računala. Dakle, potvrđena je prisutnost iste razine cenzure.
Popis web stranica blokiranih u Kini koje koriste CDN-ove preuzet je s GreatFire.org. Zatim je analizirana metoda blokiranja u svakom slučaju.
Prema javnim podacima, jedini veliki igrač na CDN tržištu s vlastitom infrastrukturom u Kini je Akamai. Ostali pružatelji koji sudjeluju u studiji: CloudFlare, Amazon CloudFront, EdgeCast, Fastly i SoftLayer.
Tijekom eksperimenata, istraživači su otkrili adrese Akamai edge servera unutar zemlje, a zatim su preko njih pokušali dobiti dopušteni sadržaj u predmemoriji. Nije bilo moguće pristupiti zabranjenom sadržaju (vratila se pogreška HTTP 403 Forbidden) - očito se tvrtka samocenzurira kako bi održala mogućnost poslovanja u zemlji. Istovremeno, pristup tim resursima ostao je otvoren izvan zemlje.
ISP-ovi bez infrastrukture u Kini ne samocenzuriraju lokalne korisnike.
U slučaju drugih pružatelja usluga, najčešće korištena metoda blokiranja bila je DNS filtriranje - zahtjevi prema blokiranim stranicama rješavaju se na netočne IP adrese. U isto vrijeme, vatrozid ne blokira same CDN rubne poslužitelje, jer oni pohranjuju i zabranjene i dopuštene informacije.
A ako u slučaju nekriptiranog prometa vlasti imaju mogućnost blokiranja pojedinačnih stranica web-mjesta pomoću DPI-ja, onda kada koriste HTTPS mogu samo uskratiti pristup cijeloj domeni u cjelini. To također dovodi do blokiranja dopuštenog sadržaja.
Osim toga, Kina ima svoje CDN pružatelje, uključujući mreže kao što su ChinaCache, ChinaNetCenter i CDNetworks. Sve ove tvrtke u potpunosti poštuju zakone zemlje i blokiraju zabranjeni sadržaj.
CacheBrowser: alat za zaobilaženje CDN-a
Kao što je analiza pokazala, cenzorima je prilično teško blokirati CDN sadržaj. Stoga su istraživači odlučili ići dalje i razviti online alat za zaobilaženje blokova koji ne koristi proxy tehnologiju.
Osnovna ideja alata je da cenzori moraju ometati DNS kako bi blokirali CDN-ove, ali zapravo ne morate koristiti rezoluciju naziva domene za preuzimanje CDN sadržaja. Dakle, korisnik može dobiti sadržaj koji mu je potreban izravnim kontaktom s rubnim poslužiteljem, gdje je već predmemoriran.
Donji dijagram prikazuje dizajn sustava.
Klijentski softver instalira se na računalo korisnika, a za pristup sadržaju koristi se uobičajeni preglednik.
Kada je URL ili dio sadržaja već zatražen, preglednik upućuje zahtjev lokalnom DNS sustavu (LocalDNS) za dobivanje IP adrese hostinga. Uobičajeni DNS postavlja se samo upit za domene koje još nisu u bazi podataka LocalDNS. Modul Scraper kontinuirano prolazi kroz tražene URL-ove i pretražuje popis potencijalno blokiranih naziva domena. Scraper zatim poziva modul Resolver za rješavanje novootkrivenih blokiranih domena, ovaj modul obavlja zadatak i dodaje unos u LocalDNS. DNS predmemorija preglednika zatim se briše kako bi se uklonili postojeći DNS zapisi za blokiranu domenu.
Ako modul Resolver ne može otkriti kojem CDN pružatelju domena pripada, zatražit će pomoć od modula Bootstrapper.
Kako to funkcionira u praksi
Klijentski softver proizvoda implementiran je za Linux, ali se lako može prenijeti i za Windows. Kao preglednik koristi se obična Mozilla
Firefox. Moduli Scraper i Resolver napisani su u Pythonu, a baze podataka Customer-to-CDN i CDN-toIP pohranjene su u .txt datotekama. LocalDNS baza podataka je obična datoteka /etc/hosts u Linuxu.
Kao rezultat toga, za blokirani URL poput Skripta će dobiti IP adresu rubnog poslužitelja iz datoteke /etc/hosts i poslati HTTP GET zahtjev za pristup BlockedURL.html s poljima Host HTTP zaglavlja:
blocked.com/ and User-Agent: Mozilla/5.0 (Windows
NT 5.1; rv:14.0) Gecko/20100101 Firefox/14.0.1Modul Bootstrapper implementiran je pomoću besplatnog alata digwebinterface.com. Ovaj DNS razrješivač ne može se blokirati i odgovara na DNS upite u ime više geografski raspoređenih DNS poslužitelja u različitim mrežnim regijama.
Koristeći ovaj alat, istraživači su uspjeli dobiti pristup Facebooku sa svog kineskog čvora, iako je društvena mreža dugo bila blokirana u Kini.
Zaključak
Eksperiment je pokazao da se iskorištavanjem problema s kojima se cenzori suočavaju kada pokušavaju blokirati CDN sadržaj može stvoriti sustav za zaobilaženje blokova. Ovaj alat omogućuje zaobilaženje blokada čak iu Kini, koja ima jedan od najmoćnijih sustava online cenzure.
Ostali članci na temu korištenja za posao:
Izvor: www.habr.com